一句话总结
SkillSpector 是 NVIDIA 开源的一款 AI Agent Skills 安全扫描工具,内置 64 种漏洞检测模式和两级分析引擎(静态分析 + LLM 语义评估),帮助你在安装第三方 AI Agent 技能之前识别安全风险。
它是什么?
随着 Claude Code、Codex CLI、Gemini CLI 等 AI 编程助手的普及,Agent Skills(技能包)生态迅速膨胀。然而研究表明,26.1% 的公开 Skills 存在漏洞,其中 5.2% 可能带有恶意意图。SkillSpector 正是为此而生——它让你能在安装前回答一个关键问题:“这个 Skill 安全吗?”
作为 NVIDIA 于 2026 年 3 月开源的项目,SkillSpector 目前已在 GitHub 上获得 5,581 颗星,并在 GitHub Trending 上持续霸榜。它支持 Python 3.12+,采用 Apache 2.0 开源协议,可通过 pip 安装或 Docker 运行。
核心功能
1. 64 种漏洞检测模式,覆盖 16 大类风险
SkillSpector 的检测能力是其最大的卖点。它内置了 64 个预定义漏洞模式,涵盖以下类别:
- Prompt Injection(提示注入):指令覆盖、隐藏指令、数据外传命令、行为操纵、有害内容
- Data Exfiltration(数据泄露):外部传输、环境变量收集、文件系统枚举、上下文泄露
- Privilege Escalation(权限提升):过度权限、sudo/root 执行、凭证访问
- Supply Chain(供应链安全):未锁定依赖、外部脚本拉取、混淆代码、已知 CVE、废弃依赖、仿冒包
- Excessive Agency(过度自主性):无限制工具访问、自主决策、范围蔓延、无边界资源访问
- Memory Poisoning(内存投毒):持久上下文注入、上下文窗口填充、内存篡改
- Tool Misuse(工具滥用):参数滥用、链式调用绕过、不安全默认值
- Rogue Agent(流氓 Agent):自我修改、会话持久化
- Taint Tracking(污点追踪):直接/间接数据流、凭证外传链、文件到网络泄露
- YARA Signatures(YARA 签名):恶意软件匹配、Webshell、加密货币挖矿、黑客工具
- MCP Least Privilege(最小权限):能力未声明、通配符权限、缺失声明、过度声明
- MCP Tool Poisoning(工具投毒):隐藏指令、Unicode 欺骗、参数描述注入、描述与行为不匹配
- 以及 Output Handling、System Prompt Leakage、Trigger Abuse 等类别
2. 两阶段分析引擎
SkillSpector 采用快速静态分析 + 可选 LLM 语义评估的两阶段架构:
- 第一阶段(静态分析):基于规则的模式匹配,速度快、无需联网,能立即发现大部分已知漏洞模式
- 第二阶段(LLM 语义分析):可选的 LLM 深度分析,通过自然语言理解判断潜在风险,提供更精确的风险评分和解释
你可以通过 --no-llm 参数跳过 LLM 分析,仅使用静态扫描以获得更快的结果。
3. 灵活的输入与输出格式
支持的输入类型非常多样:
- 本地目录(skillspector scan ./my-skill/)
- 单个 SKILL.md 文件
- Git 仓库 URL(skillspector scan https://github.com/user/my-skill)
- Zip 压缩包
支持的输出格式: - 终端彩色输出(默认,易读) - JSON(机器可读,适合自动化) - Markdown(适合文档归档) - SARIF(CI/CD 集成和 IDE 工具链)
4. 实时 CVE 查询
SkillSpector 通过 SC4 模式自动查询 OSV.dev 获取最新的 CVE 数据,并提供自动离线降级机制——当无法联网时,仍可使用本地缓存继续扫描。
5. 风险评分系统
SkillSpector 使用 0-100 的分值系统进行风险量化:
| 分数 | 严重级别 | 建议 |
|---|---|---|
| 0-20 | LOW | 安全 |
| 21-50 | MEDIUM | 谨慎 |
| 51-80 | HIGH | 不建议安装 |
| 81-100 | CRITICAL | 不建议安装 |
评分算法考虑了漏洞严重性(CRITICAL +50、HIGH +25、MEDIUM +10、LOW +5)以及可执行脚本的 1.3 倍乘数。
适用人群
- AI Agent 开发者:在发布自己的 Skills 之前进行自查,确保没有安全隐患
- 企业安全团队:评估内部或第三方 AI Agent 技能包的安全性
- 个人用户:在安装社区 Skills 前快速扫描,避免恶意技能窃取凭证或数据
- DevSecOps 工程师:将安全扫描集成到 CI/CD 流水线中,实现自动化安全门禁
与同类工具对比
| 维度 | SkillSpector | Semgrep | Trivy |
|---|---|---|---|
| 目标对象 | AI Agent Skills | 通用代码 | 容器镜像/依赖 |
| AI 安全模式 | 64 种专门模式 | 需自定义规则 | 无 |
| LLM 语义分析 | 支持 | 不支持 | 不支持 |
| CVE 查询 | 内置 OSV.dev | 需配置 | 内置 |
| SARIF 输出 | 支持 | 支持 | 支持 |
| 安装复杂度 | 低(一行命令) | 中 | 低 |
SkillSpector 的独特之处在于它是专门为 AI Agent 生态设计的安全工具,而非通用代码扫描器的简单适配。其 64 种漏洞模式覆盖了 AI 特有的攻击面(如提示注入、内存投毒、MCP 工具污染等),这些是传统安全工具完全不会触及的领域。
如何使用
安装
# 克隆仓库
git clone https://github.com/NVIDIA/SkillSpector.git
cd SkillSpector
# 创建虚拟环境并安装
uv venv .venv && source .venv/bin/activate
make install
或者使用 Docker(无需安装 Python):
make docker-build
docker run --rm -v "$PWD:/scan" skillspector scan ./my-skill/ --no-llm
基本扫描
# 扫描本地 Skill 目录
skillspector scan ./my-skill/
# 扫描单个 SKILL.md 文件
skillspector scan ./SKILL.md
# 扫描远程 Git 仓库
skillspector scan https://github.com/user/my-skill
启用 LLM 深度分析
# 使用 OpenAI
export SKILLSPECTOR_PROVIDER=openai
export OPENAI_API_KEY=sk-...
skillspector scan ./my-skill/
# 使用 Anthropic
export SKILLSPECTOR_PROVIDER=anthropic
export ANTHROPIC_API_KEY=sk-ant-...
skillspector scan ./my-skill/
# 使用 NVIDIA Build API
export SKILLSPECTOR_PROVIDER=nv_build
export NVIDIA_INFERENCE_KEY=nvapi-...
skillspector scan ./my-skill/
集成到 CI/CD
# 生成 SARIF 报告供 GitHub Actions 使用
skillspector scan ./my-skill/ --format sarif --output report.sarif
# 生成 JSON 报告用于自动化处理
skillspector scan ./my-skill/ --format json --output report.json
使用体验
在实际使用中,SkillSpector 的静态扫描速度非常快——扫描一个简单的 Skill 目录通常只需几秒钟。LLM 分析阶段会显著增加耗时,但对于复杂技能的深度风险评估来说非常值得。
扫描结果的呈现也很清晰:终端输出会用彩色高亮显示不同严重级别的问题,每个漏洞都会标注具体位置、置信度百分比和自然语言解释。例如:
HIGH: Env Variable Harvesting (E2)
Location: scripts/sync.py:23
Finding: for key, val in os.environ.items():...
Confidence: 94%
Explanation: This code collects environment variables containing
API keys and secrets, then sends them to an external server.
这种详细的解释对于非安全背景的用户也非常友好。
总结推荐
SkillSpector 是 NVIDIA 针对 AI Agent 安全这一新兴领域推出的重磅工具。它的核心优势在于:
- 专业性:64 种漏洞模式专门针对 AI Agent Skills 的攻击面设计
- 易用性:一行命令即可扫描,支持多种输入输出格式
- 灵活性:可选择纯静态扫描或启用 LLM 深度分析
- 生态整合:支持 SARIF 格式,易于集成到 CI/CD 流程中
对于任何使用或开发 AI Agent Skills 的人来说,SkillSpector 都是必不可少的安全工具。
推荐指数:★★★★★(5/5)
如果你在使用 Claude Code、Codex CLI 或其他 AI 编程助手,并且会从社区安装 Skills,那么 SkillSpector 绝对值得你花几分钟安装和试用。它就像是你 AI Agent 生态中的”杀毒软件”——平时你可能感觉不到它的存在,但一旦出事,你会庆幸自己装了它。
本文基于 SkillSpector 2.0.0 版本撰写,测试日期 2026 年 6 月 15 日。项目地址:https://github.com/NVIDIA/SkillSpector